Hack CSS ce permite vizualizarea istoricului
8Problemele de securitate sunt multe. Exista o metoda prin care simpla vizualizare a unui site iti poate releva continutul istoricului, tie sau unei persoane rau intentionate.
Exista doua pagini pe care puteti experimenta acest hack si testa securitatea browser-ului pe care il folositi. Pagina care nu se foloseste de JavaScript este aceasta. Sa analizam acest site. El are un tabel cu 5 site-uri foarte renumite si accesate, plus site-ul ha.ckers.org Daca aceste pagini se afla in istoric va aparea in dreptul numelui acestui scris „VISITED”. Restul explicatilor se gasesc pe acel site.
A doua metoda este pa baza JavaScript. Pentru a testa aceasta metoda accesati site-ul acesta. Aici exista doua tipuri de teste. Unul scurt ce nu va afisa mai mult de 1000 de intrari (destul zic eu) si altul mai lung ce poate avea pana la 90.000 de intrari.
Orice cunostinte despre o vulnerabilitate (de data aceasta lasata intentionat, dar folosita prost) sunt inutile daca nu stii sa te protejezi. Exista mai multe metode, dar le voi mentiona pe cele mai simple.
Pentru Firefox trebuie scris in bara de navigare „about:config” (fara ghilimele). Apoi trebuie cautata intrarea „layout.css.visited_links_enabled”. Schimbati-i valoarea din true in false, prin dublu-click. Dupa acestea trebuie repornit browser-ul.
Pentru celelate browser-e nu am aflat, inca, o metoda care sa impiedice doar acest hack. Astfel, aveti doar doua variante, sau folositi modul de navigare ascunsa, sau dezactivati istoricul.
Testat sub linux cu ultima versiune stabila de google-chrome. Nici prima varianta(cea fara javascript) si nici a doua(cu cele 90.000 de variante) nu mi-au gasit vreo pagina din istoric. Cel putin asa s-a somportat la mine pe laptop…
Am testat pe LMDE folosind chromium-browser (se poate citi si Google Chrome).
Primul exploit a esuat iar al 2lea… este posibil sa nu fi avut destula rabdare cu el 😀
Ultimile versiuni ale browserelor nu sunt vulnerabile la problema asta. 🙂
Mie pe Firefox, pana sa fac modificare mentionata in articol, acest hack mergea perfect. Acum am observat si eu ca in Chrome nu functioneaza 😀
Am sa fac un update la articol.
Da, acum am testat pe Mozilla Firefox 3.6.13 si a mers. 🙂
Pe Firefox 4.0b9pre n-am probleme 🙂
Rectific, as edita articolul, daca as putea 😛
Am testat asa:
IE 8 – Cel fara JS merge, la cel cu JS face crash
Opera- Mege doar cel fara JS
Chrome- nu merge niciunul
Firefox- Fara modificarile prezentate de mine in articol, merg amandoua 🙁
sincer, n-am priceput o iota.
titlul e lasat in coada de peste (nu spune mare branza) iar continutul nu atenueaza prea mult senzatia ca stai pe o plaja langa o balena esuata de 3 saptamani .
puteai fi si tu mai explicit dar cred ca e o pretentie exagerata 🙂 .
las’ ca te faci si mare 😛 .